El plugin FileOrganizer – Manage WordPress and Website Files para WordPress es vulnerable a Cross-Site Scripting almacenado a través de la carga de archivos svg en todas las versiones hasta, e incluyendo, la 1.0.6 debido a una sanitización insuficiente de la entrada y escape de salida. Esto permite que atacantes autenticados inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Tanto la versión gratuita como la versión pro son vulnerables. La versión gratuita limita la explotación a administradores, mientras que la versión pro también es vulnerable y explotable por administradores, pero también ofrece la funcionalidad a usuarios de nivel inferior (hasta suscriptores) si está habilitada. Para subsanar este problema, se recomienda deshabilitar la carga de archivos SVG en el plugin, actualizar a la versión más reciente del plugin, y monitorear de cerca las acciones de los usuarios, especialmente de los administradores.
Es crucial tomar medidas inmediatas para proteger tu sitio web de posibles explotaciones de este tipo de vulnerabilidades. Mantener todos los plugins y temas actualizados, así como implementar medidas de seguridad adicionales como la limitación de permisos de usuarios, puede ayudar a mitigar el riesgo de ataques de Cross-Site Scripting almacenado.